Về một phương pháp đảm bảo an toàn truy cập tài nguyên đám mây

Bài viết này đề xuất một mô hình kiểm soát truy cập dựa trên vai trò được lượng hóa cho đám mây, cung cấp giải pháp ủy quyền hiệu quả và điều chỉnh quyền linh hoạt khi có những truy cập trái phép. Giải pháp đề xuất chống lại các tấn công leo thang đặc quyền dựa trên cơ chế xác thực với mỗi vai trò trong từng phiên liên lại của mỗi đối tượng khác nhau. Kết quả phân tích được triển khai thực nghiệm trên ứng dụng trong đám mây IaaS.
Nội dung trích xuất từ tài liệu:
Về một phương pháp đảm bảo an toàn truy cập tài nguyên đám mây Nghiên cứu khoa học công nghệ VỀ MỘT PHƯƠNG PHÁP ĐẢM BẢO AN TOÀN TRUY CẬP TÀI NGUYÊN ĐÁM MÂY Nguyễn Đào Trường*, Đoàn Thị Bích Ngọc Tóm tắt: Điện toán đám mây ngày nay không chỉ phổ biến với khách hàng thương mại mà còn cả với những khách hàng giáo dục. Khi mà toàn bộ dữ liệu của chủ sở hữu được đưa lên đám mây thì bài toán an toàn truy cập lại càng trở lên cấp thiết hơn bao giờ hết. Bài báo này đề xuất một mô hình kiểm soát truy cập dựa trên vai trò được lượng hóa cho đám mây, cung cấp giải pháp ủy quyền hiệu quả và điều chỉnh quyền linh hoạt khi có những truy cập trái phép. Giải pháp đề xuất chống lại các tấn công leo thang đặc quyền dựa trên cơ chế xác thực với mỗi vai trò trong từng phiên liên lại của mỗi đối tượng khác nhau. Kết quả phân tích được triển khai thực nghiệm trên ứng dụng trong đám mây IaaS. Từ khóa: Đám mây; Quyền; Đặc quyền; Vai trò. 1. GIỚI THIỆU Điện toán đám mây là sự kết hợp của các tài nguyên điện toán có thể cấu hình khác nhau như mạng, máy chủ, kho lưu trữ, dịch vụ, ứng dụng giúp cung cấp truy cập thuận tiện và theo yêu cầu cho người dùng đám mây [1]. Điện toán đám mây được nhiều nhà nghiên cứu đề cập đến và hiện đang được sử dụng trong nhiều lĩnh vực thương mại, trong đó, đám mây IaaS là một trong những lựa chọn khá nhiều. Các nhà cung cấp dịch vụ đám mây chịu trách nhiệm quản lý trong môi trường đám mây. Tuy nhiên, một số lượng lớn sự cố rò rỉ dữ liệu và bảo mật thông tin là do các lỗ hổng trong hệ thống [2-4]. Trong mô hình kiểm soát truy cập bắt buộc, mỗi đối tượng hệ thống tệp có một nhãn phân loại chẳng hạn như, bí mật, mức tối mật hoặc mức tuyệt mật. Hệ điều hành hoặc trung tâm bảo mật kiểm tra thông tin đăng nhập của từng người hoặc hệ thống trong khi truy cập một tài nguyên cụ thể để xác định quyền truy cập của người hoặc thiết bị cụ thể đó [5]. Kiểm soát truy cập dựa trên vai trò (RBAC) là một cơ chế kiểm soát truy cập được sử dụng rộng rãi và ủy quyền dựa trên vai trò là cách phổ biến nhất để chủ sở hữu dữ liệu cấp đặc quyền cho người dùng trong môi trường đám mây [6]. Trong bài báo này, chúng tôi đề xuất việc tạo vai trò, quyền, và phân quyền được giao cho người quản trị đám mây của bên thuê. Chúng tôi tiến hành gán giá trị cho mỗi quyền trong từng vai trò để thuận lợi trong việc kiểm soát truy cập vào dữ liệu đám mây. Với giá trị định lượng được gán cho các bộ (vai trò, quyền), có thể mô tả chính xác bất kỳ đặc quyền nào của một vai trò được định lượng [7], chi tiết sẽ được trình bày trong các phần tiếp theo của bài báo. 2. MỘT SỐ CÔNG TRÌNH NGHIÊN CỨU TRƯỚC ĐÓ VÀ MỘT SỐ ĐỊNH NGHĨA, KÝ HIỆU TOÁN HỌC 2.1. Một số nghiên cứu liên quan Trong [8], Gartner đã đưa ra một số rủi ro bảo mật mà các hệ thống đám mây phải đối mặt. Trong [9], chính sách kiểm soát truy cập được xác định dựa trên các thuộc tính dữ liệu. Trong [10], mô hình kiểm soát truy cập dựa trên vai trò có giới hạn thời gian (GTRBAC) được áp dụng cho các tài nguyên đám mây. Các vấn đề về truy vấn đặc quyền kết hợp với phân cấp vai trò trình bày trong [11]. Dựa trên mô hình RBAC, trong [13] trình bày một mô hình bảo mật thích ứng để mô tả việc chuyển đổi vai trò trong môi trường đám mây. Cho đến nay, các mô tả về đặc quyền trong các mô hình này là khá chi tiết. Như chúng ta đã biết, các hệ thống đám mây có rất nhiều tài nguyên và người dùng, để đáp ứng các yêu cầu về quyền của những người dùng khác nhau, một số lượng lớn các vai trò sẽ được tạo và duy trì nếu sử dụng các mô hình RBAC truyền thống. Do đó, nó sẽ tiêu tốn rất nhiều tài nguyên hệ thống. Trong bài báo này sử dụng một số Tạp chí Nghiên cứu KH&CN quân sự, Số 75, 10 - 2021 141 Công nghệ thông tin & Cơ sở toán học cho tin học định nghĩa về quyền, giá trị quyền, vai trò được định lượng và giá trị hành vi để đề xuất một mô hình kiểm soát truy cập mới. 2.2. Một số định nghĩa và ký hiệu toán học 2.2.1. Định nghĩa mô hình RBAC Định nghĩa 1: Mô hình RBAC được định nghĩa gồm các tập hợp, quan hệ và ràng buộc sau: a. Tập người dùng đám mây U = u1 , u2 ,un  , tập vai trò R = r1 , r2 ,, rk  , tập quyền P =  p1 , p2 ,, pm ; tập phiên làm việc S = s1 , s2 ,, sm ; b. Gán vai trò cho người dùng, ký hiệu URA = ur1 , ur2 ,..., urm  , m  N , URA U  R là một ánh xạ từ U → R và ký hiệu uri = ( u, r ) , i = 1...m, là người dùng u được gán vai trò r. c. Gán vai trò với phiên làm việc, ký hiệu SRA = sr1 , sr2 ,..., srm  , m  N , SRA  S  R là một ánh xạ từ S → R và ký hiệu là sri = ( s, r ) , i = 1...m, là phiên s được gán vai trò r. d. Gán quyền với vai trò, ký hiệu RPA = rp1 , rp2 ,..., rpm  , m  N , , RPA  R  P là một ánh xạ từ R → P và ký hiệu rpi = ( r , p ) , i = 1,..., m, là đặc quyền p được gán cho vai trò r. Với một vai trò r có thể có nhiều hơn một quyền, ngược lại một quyền p có thể được gán cho nhiều hơn một vai trò, tùy thuộc vào ngữ cảnh cụ thể, do người quản trị bên thuê đám mây sẽ quyết định. 2.2.2. Lượng hóa vai trò với quyền Cần có một cơ chế ủy quyền và điều chỉnh quyền linh hoạt hơn trong đám mây. Một số vai trò và phân quyền chính của hệ thống được thống kê trong bảng 1. Trong mô hình RBAC, một vai trò r liên kết với một tập các bộ dưới dạng ( r , p ) tạo thành quyền của r. Trong đó, hàm quyền được thể hiện trong định nghĩa 2 [14]. Định nghĩa 2. Hàm xác định quyền của vai trò rP được định nghĩa là một ánh xạ rP : R → 2 PRA từ R vào PRA được viết thành rP ( r ) = ( r, p ) | ( r, p )  RPA. Để xác định bộ quyền của vai trò r, như đã định nghĩa trong định nghĩa 1.d), tuy nhiên để có thể thực hiện được trong quá trình thử nghiệm thì cần phải xác định dưới dạng định lượng ...